Coexistencia y Transición

Anuncio
 Coexistencia y Transición
Juan C. Alonso juancarlos@lacnic.net Coexistencia y Transición
l 
l 
l 
l 
l 
l 
Toda la estructura de Internet esta basada en el protocolo IPv4
Un cambio inmediato de protocolo es inviable debido al
tamaño y proporción que posee la red
La adopción de IPv6 debe ser realizada de forma gradual
Habrá un periodo de transición y coexistencia entre los
dos protocolos
Las rede IPv4 necesitaran comunicarse con la redes IPv6 y
viceversa
Para facilitar este proceso, se desarrollaron algunas técnicas
que buscan mantener la compatibilidad de las redes que están
desplegadas en IPv4 con el nuevo protocolo IPv6
Coexistencia y Transición
l 
Estas técnicas de transición son divididas en 3 categorías:
l 
Doble pila
l 
l 
Túneles
l 
l 
Provee soporte a ambos protocolos en el mismo dispositivo
Permite el trafico de paquetes IPv6 sobre la estructura
de la red IPv4 ya existente
Traducción
l 
Permite la comunicación entre nodos con soporte IPv6 con
los nodos que soportan solamente IPv4
Doble pila
l 
l 
l 
l 
Los nodos se tornan capaces de enviar/
recibir paquetes tanto IPv4 como IPv6
Un nodo IPv6/IPv4 cuando se comunica
con un nodo IPv6, se comporta como un
nodo IPv6 y en la comunicación con uno
IPv4, como un nodo IPv4
El nodo precisa al menos una dirección
de cada una de las pilas
Utiliza mecanismos IPv4, como por
ejemplo DHCP, para tomar direcciones
IPv4, y mecanismos IPv6 para direcciones
IPv6
Capa de Aplicacion
TCP/UDP
IPv6
IPv4
Capa de Enlace
Paquete
IPv6
Paquete
IPv4
Doble pila
Una
red de doble pila es una infraestructura capaz
de encaminar ambos tipos de paquetes
l 
l 
Algunos aspectos a tener en cuenta:
l 
Configuración de los servers de DNS
l 
Configuración de los protocolos de ruteo
l 
Configuración de los firewalls !!!!
l 
Cambios en el gerenciamiento de red
Técnicas de Tunel
l 
l 
l 
También llamada de encapsulamiento
El contenido del paquete IPv6 es encapsulado
en un paquete IPv4
Puede ser clasificados en los siguientes modos:
l 
Router-a-Router
l 
Host-a-Router
l 
Router-a-Host
l 
Host-a-Host
Técnicas de Tunel
l 
Existen diferentes formas de encapsulamiento:
l 
l 
Paquetes IPv6 encapsulados en paquetes IPv4
l 
Protocolo 41
l 
6to4, ISATAP y Tunnel Brokers
Paquetes IPv6 encapsulados en paquetes GRE
l 
l 
Protocolo GRE
Paquetes IPv6 encapsulados en paquetes UDP
l 
TEREDO
Tunnel Broker
l 
l 
l 
l 
Consiste en un túnel IPv6 dentro de la red IPv4, creado en el
propio computador o red hasta el proveedor que va a proveer
la conectividad IPv6
El procedimiento consiste en registrarse en un proveedor de
acceso Tunnel Broker y descargar un software o script de
configuración que permita establecer este túnel
La conexión del túnel se realiza a través de una solicitud en el
servidor web del proveedor que ofrece este servicio
Es indicado para redes pequeñas o para un host único
independiente
ISATAP
l 
l 
l 
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol ) - técnica
de túnel que conecta hosts-a-routers
No hay servicios públicos de ISATAP, es una técnica utilizada dentro
de las organizaciones
Es útil, por ejemplo, cuando la organización ya tiene numeración IPv6
válida y conectada en el borde, pero su infraestructura interna no
soporta IPv6
ISATAP
l 
Direccionamiento
l 
l 
l 
l 
l 
l 
Con esta técnica, la dirección IPv4 de los clientes y router son utilizadas
como parte del direccionamiento ISATAP. Con eso, un nodo ISATAP puede
determinar fácilmente los puntos de entrada y salida de los túneles IPv6, sin
utilizar ningún protocolo o recurso auxiliar
El formato de direccionamiento ISATAP es el siguiente:
Prefijo unicast: Es cualquier prefijo unicast válido en IPv6, que puede ser
link-local (FE80::/64) o global
ID IPv4 público o privado: Si la dirección IPv4 fuera pública, este campo
debe tener el valor "200" y si fuera privada (192.168.0.0/16, 172.16.0.0/12 e
10.0.0.0/8) el valor del campo es cero
ID ISATAP: Siempre tiene valor 5EFE;
Dirección IPv4: Es la dirección IPv4 el cliente o router en formato IPv4
GRE
l 
l 
l 
l 
GRE (Generic Routing Encapsulation) - túnel estático hosts-a-host
desarrollado para encapsular varios tipos de protocolos diferentes
Soportado en la mayoría de los sistemas operativos y routers
Su funcionamiento consiste en tomar los paquetes originales,
agregar un cabezal GRE y enviarlo al IP de destino
Cuando el paquete encapsulado llega a la otra punta del túnel, se
remueve el cabezal GRE y se procesa el paquete original
Cabezal IPv4
Cabezal GRE
Paquete siendo
Transportado
GRE
6rd •  Desarrollada por el ISP “Free” (Francia) –  Detallada en el rfc5569 –  Especificación del protocolo en el rfc5969 •  Solamente 6 semanas de desarrollo •  Implementa IPv6 para usuarios de una red solo-­‐IPv4 –  Debe ser soportado por el equipamiento del cliente (CPE) •  Depende básicamente de dos componentes –  CPE 6rd: interface entre el operador y el usuario –  Relay 6rd: interface entre la red IPv4 del operador y la Internet IPv6 6rd 6rd •  CaracterísOcas de los disposiOvos –  CPE •  XDSL modem, cable modem, 3G modem, etc. •  SoUware modificado para uso de 6rd •  Recomendable gerenciamiento remoto –  Relay 6rd •  Encapsular/Desencapsular paquetes IPv4 <-­‐> IPv6 6rd •  El CPE asigna al usuario una dirección IPv4 y una dirección IPv6 •  La dirección IPv6 es publica y construida en base a la dirección IPv4 asignada 464XLAT •  Método de doble traducción IPv4-­‐IPv6 •  Ofrece un IPv4 comparOdo para varios usuarios IPv6 naOvos •  UOliza un mecanismo de traducción statefull (PLAT) y otro stateless (CLAT) –  CLAT (customer side translator) hace una traducción 1:1, cada dirección IPv4 Oene su correspondiente IPv6 –  PLAT (provider site translator) hace una traducción 1:N, varios IPv6 globales se corresponden con un IPv4 global 464XLAT 464XLAT •  El prefijo IPv6 de 96 bits es único por cliente •  Por ser de 96 bits no es posible la autoconfiguración y se requiere de DHCP •  El CLAT puede ser implementado en CPEs o celulares •  Andoid hgp://code.google.com/p/android-­‐clat/ •  Linux hgp://www.ivi2.org/IVI/ Seguridad
l 
l 
l 
l 
Con la utilizacion de la tecnica de Doble Pila las aplicaciones
estan expuestas a los ataques en ambos protocolos, IPv6 e
IPv4, lo que se resuelve con la configuracion de firewalls
especificos para cada protocolo
Las tecnicas de tuneles y traduccion son las que causan los
mayores impactos desde el punto de vista de la seguridad
Los mecanismos de tuneles son suceptibles a los ataques de
DoS, falsificacion de paquetes y de direcciones de routers y
relays utilizados por esas técnicas, como 6to4 y TEREDO.
Las técnicas de traduccion implican problemas relacionados
com incompatibilidades relacionados com esas tecnicas y
algunos de los mecanismos de seguridad existentes, similar a
lo que ocurre com NAT e IPv4
Seguridad
• 
Como protegerse:
• 
• 
• 
Utilizar doble pila en la migración, protegiendo
las dobles pilas con firewall
Dar preferencia a los túneles estáticos, en
lugar de los automáticos
Permitir la entrada de trafico solamente
desde los túneles autorizados
Descargar